정부가 대량의 데이터 활용을 기반으로 하는 스마트 도시에서 발생할 수 있는 개인 정보의 오남용을 막기 위한 가이드라인을 마련한다.

개인정보보호위원회는 ‘스마트 도시 개인정보 보호 가이드라인(이하 가이드라인)’을 마련하고 8일 전체회의에서 논의했다. 개인정보위는 2020년 추진한 연구용역과 학계·법조계·산업계·실무자로 구성된 연구반 논의 결과를 반영해 초안을 마련하고 관계 부처 의견을 수렴해 이번 가이드라인을 마련했다.

스마트 개인 정보 보호 조치 6단계 16개 점검항목 / 개인정보위
스마트 개인 정보 보호 조치 6단계 16개 점검항목 / 개인정보위
스마트 도시 기획·설계 시부터 개인 정보 보호 중심 설계(PbD)를 적용하도록 하고, 주민의 프라이버시와 인권 보장을 위해 필요한 6대 개인 정보 보호 원칙을 마련했다.

PbD 원칙은 제품・서비스 개발 시 기획 단계부터 개인 정보 처리의 전체 생애 주기에 걸쳐 이용자의 프라이버시를 고려한 기술·정책을 설계에 반영하는 것을 말한다. 개인정보보호 6대 원칙은 ▲적법성 ▲목적제한 ▲투명성 ▲안전성 ▲통제권 보장 ▲책임성 등이다.

개인 정보 보호법과 6대 원칙에 따라 개인 정보 처리 과정에서 점검해야 할 16개 항목을 6단계 별로 제시했다. 마지막으로 스마트 도시 실무자 인터뷰를 통해 현장에서 어려움을 겪는 개인 정보 보호 이슈를 발굴해 이슈별로 관련 규정을 구체화하고, 사례를 제시해 실무적인 활용도를 높혔다.

스마트도시 조성 및 산업진흥 등에 관한 법률(스마트도시법)에 다양한 주체가 등장하지만 개인정보 처리 주체에 대한 규정이 없는 점을 감안해 스마트도시계획수립권자(국토부·지자체장 등), 사업시행자는 PbD 적용 주체임을 명시했다. 스마트도시기반시설관리청, 스마트 도시 서비스 제공자, 특수목적법인 등 보호법상 개인정보처리자에 해당하는 자를 명확히했다.

스마트 도시 통합 플랫폼 사업자와 서비스 제공자가 협력을 통해 서비스를 제공하는 경우 제3자 제공과 위·수탁 관계 간 근거 규정과 목적, 이전 방법의 구별 기준과 차이점을 안내하고 관련 사례를 제시했다.

사물인터넷(IoT) 기반으로 개인 정보가 수집되고, 자동화된 처리가 일상적인 스마트 도시 특성상 사전 동의에 기반한 수집과 이용에 어려움을 호소함에 따라, 정보주체 동의 없이 처리 가능한 보호법상 요건을 구체화하고 관련 사례를 수록했다.

예를 들어 개인정보 수집 단계에서 감염병의 예방 및 관리에 관한 법률에 의해 역학조사에 필요한 범위 내에서 자율주행 셔틀 탑승자의 동의 없는 개인 정보 수집이 가능하다. 스마트 헬스케어 서비스 제공을 위해 유전정보를 수집하는 경우, 유전정보는 민감정보에 해당하므로 정보주체의 별도 동의가 필요하다.

가이드라인은 전체회의 논의 결과를 반영한 후 12월 중에 공개할 예정이다. 개인정보 보호 관련 법령의 제‧개정 및 기술 환경의 변화를 반영해 지속적으로 현행화해 나갈 계획이다.

박상희 개인정보위 사무처장은 "스마트 도시에서는 시민 생활 전반에서 다양하게 수집된 개인정보가 대규모로 집적돼 처리되는 만큼 개인정보 오·남용시 입주민 감시·통제와 같은 프라이버시 침해로 이어질 수 있다"며 "이번 가이드라인 내용을 관련 기관과 업계에 널리 공유하고 스마트 도시에서 처리되는 개인정보가 보다 두텁게 보호되고, 안전하게 활용될 수 있도록 감시자로서의 역할을 해나가겠다"고 말했다.

류은주 기자 riswell@chosunbiz.com